• No results found

FS-20200506.4D2-Gespreksnotities-ICTU-nav-onderzochte-aanbestedingen-en-voorzieningen

N/A
N/A
Protected

Academic year: 2022

Share "FS-20200506.4D2-Gespreksnotities-ICTU-nav-onderzochte-aanbestedingen-en-voorzieningen"

Copied!
5
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Hele tekst

(1)

Interessante opmerkingen uit de gesprekken (n.a.v. Monitor 2019)

In het kader van de afgelopen Monitor Open standaarden 2019 zijn gesprekken gevoerd over de toepassing van open standaarden in de praktijk: met verschillende aanbesteders, met beheerders van voorzieningen en met verantwoordelijken voor raamovereenkomsten. De gesprekken waren over en weer informatief en werden door de gesprekspartners zeer gewaardeerd. Daarmee is het primaire doel van deze gesprekken bereikt: in gesprek gaan met de mensen die het open standaardenbeleid in de praktijk moeten uitvoeren.

Een overzicht van de gevoerde gesprekken is opgenomen in de Bijlage.

Iedere aanbesteding en elke voorziening is in zekere zin uniek, en de gesprekken zijn dus vooral casuïstiek.

Gestreefd is naar enige spreiding en variatie (naar overheidsorgansiaties en -lagen, maar ook naar goede en slechtere voorbeelden), maar het totale aantal gesprekken was beperkt. Toch is de informatie uit deze gesprekken bruikbaar en leerzaam, daarom hebben wij de belangrijkste opmerkingen in deze notitie bijeen gebracht. Het Forum Standaardisatie kan er haar voordeel mee doen, en zal tevens gebruikt worden als input voor bijvoorbeeld het onderzoek naar knelpunten bij adoptie.

Wij hebben de interessante opmerkingen uit de gesprekken gegroepeerd naar zeven thema’s:

1. Wie is in de praktijk verantwoordelijk ? 2. Over de (mogelijke) rol van architecten

3. Wat zou de adoptie helpen, volgens aanbesteders / voorzieningbeheerders ? 4. Over de ‘pas toe of leg uit’-lijst

5. Over ‘Leg uit’ …

6. Over de Monitor Open standaarden

7. Onderzoek naar toepassing open standaarden bij raamovereenkomsten ?

Omdat de context van een aanbesteding (eenmalig) verschilt van die van een voorziening (structureel) hebben we de opmerkingen binnen elk thema onderverdeeld in aanbestedingen danwel voorzieningen.

Thema 1: Wie is in de praktijk verantwoordelijk ? Uit gesprekken over aanbestedingen:

• Bij onze gemeente zijn de lijnen wat korter en waren zowel het management, als de architect annex strategisch informatie-adviseur als de inkoop-adviseur rechtstreeks betrokken.

• Het is belangrijk dat open standaarden al in het begin van het aanbestedingsproces op tafel komen, in latere fasen wordt het meestal erg lastig om alsnog de vraag om open standaarden toe te voegen.

• Bij de gesprekken over aanbestedingen valt op, dat externe adviseurs hierbij een belangrijke rol spelen.

Daardoor zal de kennis wellicht minder snel binnen de aanbestedende partij zelf geborgd worden, en komt het onderwerp ‘pas toe of leg uit’-lijst vooral op tafel als de externe adviseur dat ter sprake brengt.

• Anderzijds: bij een externe adviseur wordt deze kennis juist bewust gedeeld en intern geborgd. Waar sommige overheden slechts eens in de zoveel jaar een aanbesteding doen waarbij open standaarden relevant zijn, komt deze adviseur dergelijke aanbestedingen veel vaker tegen.

• Inkoopafdelingen blijken sterk in beweging: sommige gaan van volledig extern over op volledig intern, andere zijn bezig het kennismanagement intern te organiseren. Eerder gemaakte fouten leidden elders

Datum 22 april 2020

(2)

• De houding ten opzichte van het open standaardenbeleid varieert: er zijn enthousiaste lijst-toepassers, voor anderen is het meer ‘zucht, het moet …’ en nog weer anderen lijken zich nauwelijks van de lijst en van de verplichting om die toe te passen bewust.

• Het komt voor, dat de inkoopafdeling zich vooral concentreert op de procedure en het aanbestedings- proces. Niet altijd wordt er – naast de opdrachtgever – ook een architect of strategisch ICT-adviseur geraadpleegd, terwijl juist die vaak goed op de hoogte zijn van (en de voordelen zien van) de relevante open standaarden.

Uit gesprekken over raamovereenkomsten:

• Bij raamovereenkomsten is het vaak lastig om op het niveau van de ROK (RaamOvereenKomst) al veel vast te leggen over (concrete) open standaarden. Als dat gebeurt, dan veelal in algemene termen (zoals ‘voldoen aan de relevante open standaarden van de lijst’).

• Bij elke Nadere OvereenKomst (NOK) ónder de raamovereenkomst zou het beter mogelijk moeten zijn om te bepalen welke open standaarden relevant zijn. Verantwoordelijk daarvoor is echter de

contractmanager danwel de betreffende klant/deelnemer. Er is op centraal niveau weinig zicht op de manier waarop en de mate waarin bij NOK’s naar open standaarden wordt gevraagd.

• Juist op het niveau van een NOK is het mogelijk (en voor het open standaardenbeleid interessant) om de specificaties van de uiteindelijk leverancier te controleren: is er ook geleverd wat er gevraagd is?

Uit gesprekken over voorzieningen:

• Bij één van de overheidswebsites blijkt er naast de webvoorziening ook een emailvoorziening te zijn, maar onduidelijk is wie daarvoor verantwoordelijk is (de beheerder van de emailservers geeft aan de eigenaar of opdrachtgever van de emailvoorziening niet te kennen).

• Vaak is een andere partij verantwoordelijk voor de infrastructuur en daarmee voor de implementatie van de daarvoor relevante open standaarden.

• Eén van de overheidswebsites is in feite het second-level-domein is en daaronder zijn er ook nog vele third level domeinen zijn. Daarnaast zijn er subdomeinen die door andere partijen gebruikt worden, en die geredirect worden. De beheerder heeft geen invloed op het toepassen van standaarden op die subdomeinen. Mogelijk zouden daarover in de toekomst afspraken opgenomen kunnen worden in de overeenkomsten met die partijen.

• Nadat één van de beheerders was overgegaan op SAFE/Agile werken, moest het bewaken en plannen van de implementatie van open standaarden opnieuw in de werkprocessen worden ondergebracht.

Thema 2: Over de (mogelijke) rol van architecten Uit gesprekken over aanbestedingen:

• Het was de architect in het team die de aandacht vestigde op de relevante open standaarden.

Vervolgens was het aan de steun van het hoofd van de afdeling te danken dat bij de aanbesteding ook daadwerkelijk om de relevante open standaarden gevraagd is.

Uit gesprekken over voorzieningen:

• De voorziening voldoet aan zoveel relevante standaarden, omdat bij start van de ontwikkeling deze voorziening de architectuur goed is uitgewerkt. Daarbij is onder meer gebruik gemaakt van de EAR (Enterprise Architectuur Rijk).

• MinIenW beschikt over een template voor het opstellen van een architectuur, de verschillende standaarden staan daarin. Andere ministeries, zoals MinBZK, werken niet allemaal expliciet onder architectuur en sturen daar (nog?) niet echt op. Dan komen de open standaarden minder snel in beeld èn krijgt het vragen om open standaarden niet altijd de noodzakelijke steun vanuit het departement.

(3)

Thema 3: Wat zou de adoptie helpen, volgens aanbesteders / voorzieningbeheerders ? Uit gesprekken over aanbestedingen:

• Sommige aanbesteders zien het vragen om open standaarden als een risico, het lijkt hen een complexe materie (is standaard XYZ inderdaad verplicht of noodzakelijk?). Ze zijn bang om een aanbieder uit te sluiten door om een bepaalde standaard te vragen. Aanbieders zouden nogal snel naar de rechter lopen, als zij zich benadeeld of buitengesloten voelen. De lijst is ingesteld om verandering te brengen, maar juist die verandering kan raken aan grote belangen, bijvoorbeeld van de zittende leverancier.

• Bij aanbestedingen concurreert het open standaardenbeleid om aandacht met andere onderwerpen zoals duurzaamheid. Het zou helpen als vanuit BFS meer informatie en argumentatie aangedragen wordt voor het ‘waarom’ van het toepassen van open standaarden (ook per afzonderlijke standaard).

Uit gesprekken over voorzieningen:

• Maak voor elke standaard op de lijst zo helder mogelijk hoe ze geïmplementeerd kunnen worden.

• Er zijn wettelijk verplichte standaarden, maar ook (pas-toe-of-leg-uit) open standaarden en daarnaast weer aanbevolen standaarden; en die lijsten komen van verschillende instanties (zoals rijksoverheid, Forum, NCSC et cetera). Meer onderlinge afstemming en gezamenlijke presentatie zouden welkom zijn.

• Wij zouden het op prijs stellen als er centraal (door het Forum, of door inkopers) met leveranciers wordt gesproken (bijvoorbeeld Microsoft) en wij daarvan op de hoogte gehouden worden. Wij willen daarover best meedenken en daaraan best meewerken.

• Naar aanleiding van het gesprek willen wij graag met de onderzoekers en/of BFS bespreken welke andere open standaarden voor ons relevant zijn.

Thema 4: Over de ‘pas toe of leg uit’-lijst Uit gesprekken over voorzieningen:

• Wij zijn ons zeer bewust van de voordelen van het toepassen van open standaarden, zowel voor de kosten als voor de veiligheid.

• Een actieve toepasser is van mening, dat er veel standaarden op de lijst staan die maar voor een beperkt aantal partijen relevant zijn.

• Kunnen jullie standaarden op de lijst meer clusteren, zodat je sneller kan achterhalen welke relevant zijn?

• We denken graag mee over wat in de toekomst relevant wordt voor de lijst. Omgekeerd worden we graag door het Forum geïnformeerd over wat er op ons afkomt (bijvoorbeeld uit Europa, maar ook vanuit nationale trajecten).

Thema 5: Over ‘Leg uit’ …

Uit gesprekken over aanbestedingen:

• De beelden over de ‘Leg uit’-verplichting verschillen sterk van de regel (i.c. de Rijksinstructie) en de bedoeling daarvan. Verantwoording afleggen in het jaarverslag bijvoorbeeld wekt verbazing: voor dermate gedetailleerde informatie zal een jaarverslag zich niet lenen denkt men.

• Eén aanbesteder gaat er van uit, dat ‘Leg uit’ betekent dat in de aanbestedingsstukken vermeld moet worden waarom er niet om een bepaalde standaard wordt gevraagd. Een andere aanbesteder denkt dat ‘Leg uit’ betekent: het geven van een toelichting (bijvoorbeeld in de Nota van Inlichtingen) waarom een specifieke standaard uitgevraagd wordt.

• Enkele gesprekspartners dachten overigens dat het ‘pas toe of leg uit’-principe alleen voor de rijksoverheid verplicht is.

(4)

Thema 6: Over de Monitor Open standaarden Uit gesprekken over voorzieningen:

• De Monitor zou niet nodig moeten zijn, maar is beslist nuttig en dwingt om jaarlijks de stand van zaken m.b.t. het voldoen aan open standaarden te actualiseren.

• Door de jaarlijkse uitvraag voor de Monitor zijn wij een spreadsheet gaan bijhouden van relevante standaarden en welke daarvan getest worden op Internet.nl. Dit helpt erg om inzicht te brengen bij onder andere het MT. En die willen vervolgens dat ‘openstaande punten’ zo snel mogelijk worden aangepakt, en hebben liever dat de Monitor geen ‘openstaande punten’ hoeft te vermelden. Dat de Monitor naar de Tweede Kamer wordt gestuurd levert een extra stimulans hiervoor.

• Het blijkt lastig om de vragen over onze voorziening te beantwoorden, omdat er binnen onze dienst verschillende afdelingen voor verschillende aspecten (en daarmee standaarden) verantwoordelijk zijn.

Bovendien moeten alle afspraken ook met het beleidsdepartement afgestemd worden.

• De Monitor is een goede prikkel om het voldoen aan open standaarden binnen de organisatie en bij het management te agenderen.

Thema 7: Onderzoek naar toepassing open standaarden bij raamovereenkomsten ?

De gesprekken over raamovereenkomsten waren er op gericht om een beter beeld te krijgen van dit deel van de aanbestedings-werkelijkheid en van de mogelijkheid om te onderzoeken in hoeverre daarbij het open standaardenbeleid wordt uitgevoerd. Er blijken bij de drie besproken categorieën vele tientallen raamovereenkomsten te lopen, waaronder weer vele honderden nadere overeenkomsten. Het gaat dus om een belangrijk deel van de aanbestedings-werkelijkheid.

Tegelijkertijd is het (zie de bevindingen bij Thema 1) lastig om op het niveau van Raamovereenkomsten al veel vast te leggen over (concrete) open standaarden. In principe zou dat bij de Nadere overeenkomsten ónder elke raamovereenkomst beter mogelijk moeten zijn, maar er is op centraal niveau weinig zicht op de manier waarop en de mate waarin bij Nadere overeenkomsten naar open standaarden wordt gevraagd.

Uit deze verkennende gesprekken hebben wij de conclusie getrokken dat onderzoek naar toepassing open standaarden bij raamovereenkomsten wèl belangrijk maar niet eenvoudig is. Daarom wordt in de nieuwe Monitor Open standaarden een pilot-onderzoek uitgevoerd naar opdrachten onder raamovereenkomsten.

Hiervoor wordt voor enkele lopende raamovereenkomsten een aantal opdrachten uitgekozen, waarvan betrokkenen geïnterviewd worden. In deze gesprekken wordt nagegaan in hoeverre open standaarden relevant waren, of hierom gevraagd is in de uitvraag c.q. bij de opdrachtverlening en meer in het algemeen wat dit betekent voor de manier waarop het voldoen aan open standaarden geborgd wordt in de

opdrachtverlening onder een raamovereenkomst. Over dit pilot-onderzoek wordt in een aparte notitie gerapporteerd.

(5)

BIJLAGE: Overzicht van de gevoerde gesprekken

Gesprekken over beoordeelde aanbestedingen

• Kamer van Koophandel

• Gemeente Tilburg

• Hoogheemraadschap Rijnland

• Haagse Inkoop Samenwerking (HIS)

• Gemeente Molenlanden

• Nederlands InkoopCentrum (NIC)

Gesprekken over onderzochte voorzieningen

• DPC (MinAZ) en SSC-ICT

• Programmateam BRO

• Logius (Centrum voor Standaarden)

• Kamer van Koophandel

Gesprekken over raamovereenkomsten

• Categoriemanagement ICT Werkomgeving Rijk bij Min BZK

• Categoriemanagement Organisatie en Personeel ICT-inhuur bij Min EZK

• Categoriemanagement Standaard pakket-software bij Min J&V

Referenties

GERELATEERDE DOCUMENTEN

Concluderend moeten voor Berichtenbox voor bedrijven nog de volgende standaarden (volledig) worden geïmplementeerd: HTTPS/HSTS, IPv4 en IPv6 en TLS.. 3.3

1. De naleving van de pas toe of leg uit verplichting in aanbestedingen: a) worden de relevante open standaarden van de pas-toe-of-leg-uit lijst uitgevraagd; en b) wordt er

Begin 2021 overleggen ICTU, BFS en BZK over de stappen in het voortraject (overleg door BZK en BFS met een aantal betrokken partijen) en over de aanpak van het onderzoek. h) Op

In het Wetsvoorstel Digitale Overheid is daarom een grondslag opgenomen voor het verplichtstellen van nader te bepalen open standaarden.. Dit zou het sluitstuk van

8) In 2019 zullen (net als in 2018) de gebruiksgegevens van de standaarden van de ‘pas toe of leg uit’ lijst verzameld worden door het Bureau Forum Standaardisatie, daar

Bij de resterende 8 aanbestedingen (11%; vorig jaar 15%) - waarbij één of meer open standaarden relevant waren - werd om geen enkele open standaard gevraagd (bij 3 aanbestedingen)

Concluderend moeten voor de voorziening Rijkspas nog de volgende standaarden (volledig) worden geïmplementeerd: DKIM, DMARC, DNSSEC, IPv4 en IPV6, STARTTLS/DANE.. 2.6

Daarbij geldt dat een reactie welkom is, en als die vóór een bepaalde datum toegestuurd wordt dan kan die mogelijk nog meegenomen worden (de beoordelaars zullen dan bezien of